タグ付けされた質問 「apparmor」

4
最も単純で安全なサンドボックス(限られたリソースが必要)
私は、分散シミュレーションを実装するプロジェクトに取り組んでいます。任意のコードが複数のノードで実行され、結果が後で収集および集計されます。 各ノードはUbuntu Linux仮想マシンのインスタンスであり、実行されるコードを複数のワーカープロセス(コアごとに1つ)に転送するマスタープロセスを実行します。 この質問は、各ワーカーに仮想マシンインスタンスを使用せずに、各ワーカーがサンドボックス環境で動作することを確認する方法に関するものです。労働者の正確な要件は次のとおりです。 fs:書き込み許可なし、単一ディレクトリ(およびサブフォルダ)に制限された読み取り専用許可 net:ローカル通信のみが許可されます(IPC、TCPなど) mem:メモリ使用量の上限(スワップメモリ​​なし) cpu:許可されるコアは1つのみです。時間制限を超えた場合は強制終了します 他の制限を課すべきではありません:ワーカーは、動的ライブラリを(読み取り専用フォルダーから)ロードし、新しいスレッドまたはプロセスを生成し、システム関数を呼び出し、ecc eccできる必要がありますが、制限は、生成/ロードされたエンティティによって継承される必要があり、合計方式で適用する必要があります(たとえば、それぞれ800MBを使用する2つのスレッドをワーカーに生成させることはできません。そのようなワーカーのメモリ制限は1GBです)。 言うまでもなく、労働者がその権利を高める方法はないはずです。 要件を満たす最もシンプルなソリューションのための利用可能な代替案(SELinux、AppArmor、cgroups、ulimit、Linux名前空間、LXC、Dockerなど)を検討するのにかなりの時間を費やしましたが、フィールドでの経験は限られています。 現在の理解:LXCとDockerは、私のユースケースでは少し重く、完全に安全ではありません1。AppArmorは設定が簡単であるため、SELinuxよりも望ましいです。fsとネットの制限に使用します。cgroupsはulimit(単一のプロセスで動作する)よりも好ましく、memおよびcpuの制限に使用します。 これは私の目標を達成する最も簡単な方法ですか?AppArmorまたはcgroupsのみを使用できますか?モデルに明らかなセキュリティホールはありますか?ガイドラインは「労働者自身を倒すことを許可されているが、それ以外は何もしてはならない」であるべきである。

8
プロセスがファイルを書き込むのを防ぐ方法
Linuxでコマンドを実行して、書き込むファイルを作成または開くことができないようにしたいのですが。それでも通常どおりファイルを読み取ることができ(空のchrootはオプションではありません)、すでに開いているファイル(特にstdout)に書き込むことができます。 特定のディレクトリ(つまり、現在のディレクトリ)へのファイルの書き込みが引き続き可能かどうかは、ボーナスポイントです。 私はプロセスローカルなソリューションを探しています。つまり、システム全体のAppArmorやSELinuxなどの設定や、ルート権限を必要としません。ただし、カーネルモジュールのインストールが必要になる場合があります。 私は機能を検討していましたが、ファイルを作成する機能があれば、これらは素晴らしく簡単でした。ulimitは、このユースケースをカバーしている場合に便利な別のアプローチです。

2
NTPおよびLDAPに関するsyslogにapparmorエラーメッセージが表示されるのはなぜですか?
新しくインストールされたUbuntu 12.04マシンではntp、slapdインストールされ、次のメッセージが/var/log/syslog定期的に表示されます。 Feb 23 18:54:07 my-host kernel: [ 24.610703] type=1400 audit(1393181647.872:15): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=1526 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 検索しましたが、これらのメッセージの原因および問題の修正方法に関する情報が見つかりません。誰もがこれを引き起こしていることとそれに対して何をすべきかについて何か光を当てることができますか?
12 ubuntu  ldap  ntp  apparmor 

3
Linuxセキュリティ拒否のプロンプトユーザー
アプリケーションが分類されたファイルやフォルダー(デジタル署名、SSHキー、クレジットカード情報、その他の機密事項)にアクセスしたいときに、Linuxセキュリティモジュール(AppArmor、SELinuxなど)にユーザーにプロンプ​​トを表示させることは可能ですか?望まれる可能性のあるアプリケーションのアクションを拒否する(たとえば、ユーザーの要求に応じて電子メールに署名したい電子メールクライアント)。 脆弱なアプリケーション(特にWebブラウザーとメールクライアント)に厳密なデフォルトのセキュリティポリシーを設定し、ユーザーに特定のアクションが必要かどうかを判断させると有益です。ユーザーを悪化させることなくシステムの脆弱性を回避できます。親しみやすさ。

2
Docker / LXCのAppArmorプロファイル
MySQLを実行するDockerコンテナー(LXC)があります。Dockerの背後にあるアイデアは一般に「コンテナごとに1つの実行プロセス」であるので、MySQLバイナリをターゲットとするAppArmorプロファイルを定義すると、それらは適用されますか?これをテストする方法はありますか?
11 lxc  apparmor  docker 

2
.Xauthorityを読み取れないため、Evinceは起動に失敗します
Ubuntu 10.04(lucid)を実行しているマシンにX転送を使用して、SSH経由でリモートでログインしています。ほとんどのX11アプリケーション(xterm、gnome-terminalなど)は正常に動作します。しかし、Evinceは起動しません。~/.Xauthorityファイルが存在しても読み取りはできないようで、明らかに読み取り可能です(適切なアクセス許可があり、他のアプリケーションが問題なく読み取れます)。 $ evince X11 connection rejected because of wrong authentication. Cannot parse arguments: Cannot open display: $ echo DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY DISPLAY=localhost:10.0 XAUTHORITY= $ strace evince … access("/home/gilles/.Xauthority", R_OK) = 0 open("/home/gilles/.Xauthority", O_RDONLY) = -1 EACCES (Permission denied) … $ ls -l ~/.Xauthority -rw------- 1 gilles gilles 496 Jul 5 …

1
権限がmysqlログへの書き込みを拒否しました
私はVagrantで新しいUbuntu(Vivid 15.04)インストールをテストしていて、mysqlで問題が発生し、カスタムの場所にログを記録しています。 では/var/log/syslogI GET /usr/bin/mysqld_safe: cannot create /var/log/mysqld.log: Permission denied 私ls -l /varが得るなら drwxrwxr-x 10 root syslog 4096 Jun 8 19:52 log / var / logを見るとファイルが存在しません それが問題の原因であるかどうかを特定するために一時的にapparmorを無効にしたと思いましたが、それでも問題が発生しているかどうかはわかりません権限)。 mysqlとして手動でファイルを作成しようとすると、拒否されます(テストのためにbashアクセスを一時的に許可しましたが、後で削除します)。 touch /var/log/mysql.log touch: cannot touch ‘/var/log/mysql.log’: Permission denied 別の実行中のサーバー(centos)を見ると、上記のようなアクセス許可がある(そしてmysqlユーザーとして書き込む)ので、mysqlは通常、/ var / logディレクトリにアクセスするためのアクセス許可をどのように取得するのでしょうか。通常の実行でそのフォルダにアクセスしますか? これが私のmysqlのapparmorプロファイルです /usr/sbin/mysqld { #include #include #include #include #include capability dac_override, …

3
AppArmorはシステムのパフォーマンスを低下させますか?
AppArmorはシステムのパフォーマンスを低下させますか?AppArmorがデフォルトでインストールされているため、遅いシステム(900 MHz CPU)を使用しています。削除すると高速になるかどうかを知りたいです。セキュリティは、そのシステムのパフォーマンスほど重要ではありません。
8 linux  apparmor 
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.